1、全球隐私计算图谱报告2022年12月杭州国际数字交易联盟 全球隐私计算图谱报告 发起单位支持单位杭州数据安全联盟华为云计算技术有限公司京东科技信息技术股份有限公司杭州安恒信息技术股份有限公司杭州国际数字交易有限公司OpenMPC社区（开放隐私计算）北京航天航空大学杭州创新研究院注：按拼音排序全球隐私计算图谱全球隐私计算技术趋向全球隐私计算应用案例全球隐私计算开源一览趋势展望全球隐私计算发展概况目 录C o n t e n t0 全球隐私计算图谱报告 01全球隐私计算发展概况01 全球隐私计算图谱报告 隐私计算起源：数字经济发展与数据安全隐私保护并存 发展数字经济是把握新一

2、轮科技革命和产业变革新机遇的战略选择。数据要素是数字经济深化发展的核心引擎，流通是数据要素价值释放的本质要求，而安全合规是数据有序流通的基本前提。隐私计算作为围绕数据使用与交换而采取的保护技术，为数据流通与安全并存提供了解决方案。CCPA(California)、CDPA(Virginia)、CPA(Colorado)、CPRA(California)、EU Whistleblower Directive、GDPR(EU)、HIPAA、IAB TCF 2.0、ISO 27701、LGPD(Brazil)、LkSG(Germany)、Nevada Privacy Law、PDPA(Thailan

3、d)、PIPEDA(Canada).中华人民共和国网络安全法、中华人民共和国数据安全法、中华人民共和国个人信息保护法信息产业蓬勃发展，数据价值潜力巨大50607080022202320242025预计全球数据量2025年达175ZB（单位：ZB）资料来源：Gartner，中国信通院，IDC，赛迪研究院2016年，在世界银行发展报告中描述：国家层面的数据融合提升了各行业效率，节省工作时间及大概GDP2%的支出；2022年2月中央全面深化改革委员会审议通过关于构建数据基础制度，更好发挥数据要素作用的意见。百亿用户和传感器企业上云和数字化46亿2019年物

4、联网终端数量200亿2025年物联网终端数量15.3%2021年全球企业上云渗透率中国企业上云渗透率40.0%全球及国内隐私保护数据安全立法概况 全球隐私计算图谱报告 隐私计算核心：“数据可用不可见”全球隐私计算图谱报告 数据在全生命周期的安全需求隐私计算主流技术路线目前主流的隐私计算技术主要分为三大方向：一是以安全多方计算、同态加密等为代表的、基于密码学的隐私计算技术；二是以联邦学习为代表的、人工智能与隐私保护技术融合衍生的技术类型；三是以可信执行环境为代表的、基于可信硬件的隐私计算技术。此外，隐私计算与区块链相结合能融合信任与安全，为数据要素流通、数据价值释放提供了一种新的技术解。隐私计算

5、（隐私保护计算、隐私增强计算）定义国内：隐私计算是在保证数据提供方不泄露原始数据的前提下，对数据进行分析计算的一系列信息技术，保障数据在流通与融合过程中的“可用不可见”。国外：通过提高可预测性、可管理性、可分离性和保密性来减轻数据处理所产生的个人隐私风险的任何软件或硬件的解决方案、技术流程或其他技术手段。随着隐私计算技术提出和多年发展，国内隐私计算产业开始进入快速上升期。2018年及以前就有出现隐私产品模型；2019年，国内市场环境意识到数据安全与隐私保护的重要性，隐私计算产品需求开始明确，部分企业开始布局隐私计算；2020年被称为“隐私计算元年”，一波隐私计算初创企业成立，大数据公司、AI公

6、司等一系列相关企业开始增加隐私计算研发投入；2021年隐私计算产品进入金融等领域大面积推广；2022年隐私计算产品在多行业铺设，市场氛围活跃。（数据来源：中国信通院、金融检测机构隐私计算评测等公开信息）隐私计算发展：技术经过多年发展，步入应用阶段 2022全球隐私计算图谱报告 全球关键研究成果国内产品研发情况920986200020978同态加密概念安全多方计算概念Paillier加密算法Gentry方案BFV/BGV方案联邦学习不经意传输技术混淆电路技术隐私保护机器学习TEE标准GSW方案ABY方案2019联邦迁移学习Rabi

7、n提出不经意传输技术姚期智院士提出混淆电路技术姚期智院士提出“百万富翁”问题，借此提出安全多方计算概念Rivest、Adleman和Dertouzos提出全同态加密构想具备半同态特性的加密算法第一代全同态加密方案第二代全同态加密方案使用混合技术的安全多方计算方案杨强教授提出联邦迁移学习，应用于2B场景谷歌首次提出联邦学习技术，用于解决客户端到云端间安全建模问题第三代全同态加密方案GlobalPlatform开始起草并制定可信执行环境TEE规范标准PPML(Privacy-Preserving Machine Learning)相关研究开始起步发展SPDZ方案基于秘密分享的安全多方计算方案隐私计

8、算实践：中外存在差异，国内商业模式初显 全球隐私计算图谱报告 中外应用差异国 际1、民众普遍重视个人隐私数据，也倾向于为了保护隐私动用法律。2、严格执法高罚金下，企业积极探索隐私保护能力，布局较早，技术研究投入多，开源生态好。3、硬件上的隐私保护和数据安全相对成熟。目前市面上的可信执行环境的落地大多都是基于Intel和ARM。4、商业应用尚未全面铺开，发展有限。企业端应用主要集中在医疗领域。另外谷歌、facebook（meta）等大型科技企业在C端应用做了大量探索。国 内1、国内企业重视度不够，但随着最近相关法规的持续完善和判例的不断增加，民众和企业都逐步意识到保护个人隐私数据安全的重要性。2

9、、国内企业布局隐私计算相对较晚，但随着各种政策法律相继出台，近几年隐私计算产业发展非常迅速，开源生态也逐渐显现。3、国内软件应用层面的隐私保护发展更快。互联网大厂、隐私计算初创公司等各类企业的隐私计算产品不断出新、发展蓬勃。4、商业化应用探索非常丰富，注重应用效果。主要集中在B端、G端数据应用层面，金融、政务、医疗等领域已有大量应用并有落地实践，能源、车联网等方向也在积极探索。整体初具竞争优势。目前国内隐私计算项目实施的四种商业模式直接部署隐私计算平台并按照部署节点收费提供整套数据安全流通服务平台，或带有分润模式提供开源订阅，依据客户功能特性定制化服务提供隐私计算一体机设备02全球隐私计算图谱

10、02 全球隐私计算图谱报告 全球隐私计算图谱综合科技类专精型厂商综合开源平台联邦学习FL安全多方计算MPC可信执行环境TEEAI金融科技区块链信息安全大数据数据交易同态加密HE 全球隐私计算图谱报告 03全球隐私计算技术趋向03 全球隐私计算图谱报告 隐私计算技术路径隐私计算主要的技术实现路径分为三种，从应用层到底层自上而下可以分为：融合隐私保护技术的联合建模（联邦学习）、以密码学为核心的技术实现（安全多方计算）、以及依托可信硬件的技术实现（可信执行环境）。全球隐私计算图谱报告 联邦学习是在建模的方式上实现隐私保护：各参与方在本地进行训练，将模型参数进行通信与聚合。基于数据在各参与方分布情况的

11、差异，联邦学习可以分为横向联邦学习、纵向联邦学习、联邦迁移学习。联邦学习多与多种安全技术结合实现隐私保护的联合建模。以联合建模为核心的联邦学习以密码学为核心的安全多方计算依托可信硬件的可信执行环境通常是先以密码学为核心，构建基础运算算子；再以基础运算算子构建复杂运算逻辑，应用于多种应用场景，如科学计算、机器学习等。目前行业的技术厂商通常将安全多方计算作为主要技术方案，将同态加密作为一种技术手段与其他多种应用业务相结合。基于可信的硬件对隐私数据的计算环境进行隔离保护，基于硬件的信任根提供对硬件可信程度的度量。可信执行环境TEE联邦学习FL安全多方计算MPC纵向联邦学习横向联邦学习迁移联邦学习相互

12、融合混淆电路不经意传输同态加密秘密分享零知识证明硬件安全计算安全算法的可靠性隐私计算技术能力隐私计算技术应用需要兼顾安全、可信、高效、易用、产业互联互通等多项能力。全球隐私计算图谱报告 安全性是隐私计算技术的基础要求。隐私计算面临来自安全假设、算法可解释性、平台系统以及可信硬件的多方面安全挑战。行业用户可以通过“最优安全设计”原则展开技术实践，即不单纯追求安全最大化，而是结合具体业务需求，平衡性能、安全性、通用性等多维因素，从技术方案设计和产品选型层面，寻找安全最优解。隐私计算的规模化落地实践需要满足业务需求的性能支持。可以从硬件、算法、通信、计算方式等多个维度来提升性能，不能以牺牲安全性的方

13、式来提升性能。信任是隐私计算应用的基础。隐私计算的发展需要关注用户的需求、背景等因素，建立信任机制，提升用户对隐私计算技术的信心，增加社会对隐私计算技术的信任。隐私计算跨平台的互联互通将打破“计算孤岛”制约，促进产业化的全域数据流通，逐渐演变成“纵横交织”的生态网络。由于隐私计算涉及到加密算法、通信协议等，技术门槛较高，学习和解释成本较高，从普适性和实用性角度来说，隐私计算产品在设计时应该将复杂隐藏起来，而最终提供给用户的是简单易用的产品，即所谓“复杂其内，简单其外”。通过无代码或低代码方式、可视化界面操作，实现易用性。互联互通易 用高 效可 信安 全安全性 全球隐私计算图谱报告 安全问题描

14、述安全假设不同的隐私计算技术有不同的安全假设。一般而言，目前工业界常用的安全多方计算算法需要假设参与方是诚实且好奇的半诚实模型；同态加密需要假设底层的格密码算法是安全的；可信执行环境需要假设硬件厂商是可信的；联邦学习一般假设攻击者逆向破解中间数据需要投入的成本大于数据的价值。较弱的安全模型无法给应用场景提供足够的安全性，通常需要使用其他手段提升产品整体安全性。当隐私计算技术的安全假设与应用场景的实际情况不相符时，数据的安全性无法被正确保护。算法安全尽管以密码学为核心的技术在算法层面是安全可证的，依托可信硬件的技术在设计层面安全性是经过论证的；但是面向不同的场景，在应用层面通常会引入复杂的算法、

15、多样化的计算与交互逻辑（例如机器学习算法），导致算法可解释性难度的增加，增加了算法层面的安全性。针对算法的常见的攻击手段包括：投毒攻击、推理攻击、重构攻击等。软件安全软件安全主要是指隐私计算产品在实现过程中所引入的安全问题。常见的软件安全问题有内存安全漏洞，逻辑漏洞，后门等。攻击者可以利用软件开发过程中有意或无意引入的安全漏洞破坏隐私计算产品对数据的安全保护能力。系统安全系统安全指的是在业务实践过程中，针对隐私计算产品的设计、隐私计算产品所涉及的技术方案、隐私计算产品运营过程等方面的安全风险。例如，通过攻击身份识别模块伪装成合法用户，攻击授权模块获得非法权限，攻击网络通信窃取传输数据等。硬件安

16、全硬件安全主要指通过对硬件的攻击破坏隐私计算产品安全性。硬件安全漏洞的引入可能是由于硬件厂商有意或无意的不安全设计与实现，也可以是通过收集硬件运行时的侧信道信息推测硬件内程序的运行状态。安全的隐私计算产品实践需要动静结合，静是指设计阶段，动是指使用阶段。设计阶段需要从场景抽象、安全假设、算法安全、软件安全、系统安全以及硬件安全的方面对安全性进行系统性地分析，并结合业务需求，完成兼顾性能、安全性与易用性的隐私计算产品方案的设计。使用阶段需要在完成隐私计算产品全生命周期安全性的证明。安全性的证明分为设计阶段的理论安全性论证，产品设计与实现阶段的代码校验与形式化验证，产品使用过程中的程序完整性证明、

17、入侵检测与防御等，以及事后定期的日志存证与审计。隐私计算技术的安全边界及已知的安全性问题，在行业内已取得初步的共识。隐私计算产品安全性的探讨正在向产品安全设计与实现的方向演进。常见安全问题包括：安全假设、算法安全、软件安全、系统安全、硬件安全。可信性 全球隐私计算图谱报告 隐私计算的目的是在保护数据隐私的前提下实现数据价值的流通，此过程中用户对被使用的数据的安全性的信任尤为关键。因此，隐私计算的发展需要关注用户的需求、背景等因素，建立信任机制，提升用户对隐私计算技术的信心，增加社会对隐私计算技术的信任，促进隐私计算技术得到更广泛的应用，更大程度得释放数据的价值；国产化的信任基。基于数据安全和技

18、术自主可控的需求，越来越多的行业用户更加青睐基于国产化可信硬件的隐私计算产品。不同隐私计算技术理论上的安全性的研究。以密码学为核心的技术是可证的安全，在该层面具有最高级别的信任；依托于可信硬件的可信执行环境的安全边界经过系统性地探讨，具有十分高昂的攻击成本；以联合建模为核心的技术虽然由于场景的多样性导致安全边界最不清晰，近年来多个团队在针对模型攻击的检测与防御、模型中信息的隐私保护等。在算法和逻辑层面的隐私计算产品，需要在实现和开发的阶段也保证安全性。本层面的信任通过验证进行构建，验证的方式主要包括技术上对实现的形式化验证、权威机构的验证、通过开源实现的验证。在隐私计算产品架构层面，需要正确地

19、、安全地对使用者的身份进行认证、授权、溯源审计、并确保对资源保护的隔离机制的有效。在国际上，使用可信执行环境技术进行身份认证授权的云厂商，使用区块链技术实现分布式日志审计与溯源、以及身份认证的应用的数量也在增加。算法&逻辑层面实现&开发层面架构&治理层面技术方案 国外国内Intel SGXIntel TDXARM TrustZoneARM CCAAMD SEV-SNP海光 CSV飞腾 TrustZone兆芯 TCT鲲鹏 TrustZone蚂蚁发布时间2002021指令集架构X86_64X86_64ARMARMX86_64X86_

20、64ARMX86_64ARM任意是否支持任意代码执行是是是是是是是是是是硬件安全密钥有有无无有有无有有有内存加密是是否否是是否是否有内存完整性保证支持支持不支持不支持支持支持不支持支持不支持支持TEE安全I/O不支持支持支持支持支持支持支持支持支持支持可用内存=1T系统内存系统内存系统内存系统内存系统内存系统内存系统内存系统内存系统内存TCB硬件：CPU Package软件：Enclave内的代码实现硬件：CPU Package软件：Intel TDX Module&虚拟机镜像硬件：安全虚拟核软件：安全世界OS和TA硬件：安全虚拟核软件：Realm、安全世界OS和TA硬件：AMD Secure

21、 Processor软件：虚拟机镜像硬件：海光SME软件：虚拟机镜像硬件：安全虚拟核软件：安全世界OS和TA硬件：CPU&TPCM硬件：安全虚拟核软件：安全世界OS和TA硬件：CPU&TPM性能性能瓶颈也是阻碍隐私计算规模化应用的因素之一。隐私计算的规模化落地实践需要满足业务需求的性能支持，可从硬件、算法、通信、计算方式等多个维度提升性能。可信执行环境 可信执行环境的计算性能主要取决于CPU的计算效率；主要性能损失出现在加解密步骤中；可信执行环境是针对CPU-friendly计算，但针对其他方式的计算，例如四维向量/变换矩阵的乘法，其效率低于GPU。安全多方计算 密码算法使得计算量几何倍数增长

22、；部分MPC算法使得通信呈指数倍膨胀；多方协作的“木桶效应”使得性能最弱的参与方或者计算节点将成为整个网络的计算瓶颈；网络连接和通信开销也可能是制约效率的原因之一。联邦学习 算法协议；由于联邦学习多方协作的计算特性，计算任务的调度和；网络连接和通信开销也可能是制约效率的原因之一。提升性能的方法 强化并行计算能力以加速 通信优化：节点通信优化、通信能力优化 算法优化；特点：成本较低 加速方式：GPU（科学计算可提升几十上百倍），FPGA硬件优化，ASIC（同态计算可加速1000倍）针对密码：密码卡，CPU密码加速指令集（可提升23倍效率）特点：成本高，但效果明显硬件加速软件加速 全球隐私计算图谱

23、报告 可用性隐私计算技术在可用性上普遍存在产品结构复杂、运行效率低下等问题，隐私计算一体机同时兼顾产品安全性、性能、易用性，正被越来越广泛地采用与部署。隐私计算技术在可用性上普遍存在的问题产品结构复杂，部署方式繁琐以密码学为核心的技术存在运行效率低下以联合建模为核心的技术安全性较低，且常需根据场景进行定制化开发以可信硬件为核心的技术依赖特殊硬件1234技术可用性优点可用性缺点安全多方计算可通过框架用户无感地完成任意计算任务通信量膨胀，计算效率低同态加密可通过定制化算法完成复杂度较低的计算任务计算量膨胀，计算效率极低联邦学习可完成机器学习/深度学习任务需针对场景任务进行任务训练可信执行环境可用户

24、无感地完成任意计算任务需要硬件的支持区块链可完成任意去中心化计算任务，可验证全链路共识效率低隐私计算一体机呈现出行业主流产品形态的趋势隐私计算一体机是兼顾产品安全性、性能、易用性的一种产品形态。正在被越来越多的市场玩家采用并布局。1.从硬件到应用软件全国产化的信创隐私计算一体机，可以提高用户对产品的信任。2.基于硬件的对隐私数据的安全隔离可以提升产品的安全性。3.由硬件随机数产生，并存储在硬件内的密钥可以提升密码应用的安全性。4.基于硬件的可信网络可以提升通信安全，并增加用户对产品的信任。1.使用硬件对密码算法的实现进行加速，是效果突出的密码加速方案。2.使用硬件对通用计算任务进行加速的效果也

25、十分明显。例如使用GPU对变换矩阵的乘法等科学 计算的效率可达到CPU计算的几十上百倍。1.高效平台运维和部署模块可以通过开箱即用、快速组网等功能提升隐私计算一体机的易用性。2.内置用户友好的可视化界面，有助于用户在无隐私计算技术背景的前提下快速上手使用产品。安全性方面性能方面用户体验方面一体机密码学为核心的技术联合建模为核心的技术可信硬件为核心的技术隐私计算技术身份管理与访问控制用户使用界面日志记录与审计隐私计算平台高效平台部署模块高效平台运维模块易用性平台软件层可信执行环境硬件密码卡安全硬件CPU指令集、密码加速卡通用计算加速设备（GPU、FPGA、DPU）加速硬件CPU硬盘内存.一般硬件

26、硬件层 全球隐私计算图谱报告 互联互通“互联互通”概念最早是美国电信领域在1934年提出的，本意是指两个通信网络之间是否能够兼容，而在当下这一概念逐渐演变为不同组织、不同场景、不同系统之间在平台“互操作”与数据“可携带”等方面的问题。难 点目 标010203隐私计算一个包含多种技术的复杂体系。联邦学习、安全多方计算、机密计算等技术实现的最底层思路就有着天壤之别，这种技术上的差异性为互联互通带来巨大挑战。不同隐私计算核心技术路线之间存在天然壁垒不同平台拥有不同的系统架构、核心算法、应用管理等，跨平台任务的执行必须要适应不同平台的设计，必须要解决基础功能和算法实现如何在不同平台上兼容和适配的问题。

27、产品设计各部相同实现互联互通的过程中势必会存在一定的相互迁就与妥协，损失产品在技术路线、核心算法、功能设计等等方面原有的个性化。基于目前的市场现状来看，跨平台互联互通对于技术厂商而言并非“刚需”。技术提供者之间相互适应的驱动力不足具有不同系统架构或功能实现方案的隐私计算技术平台（包括同一平台的不同版本）之间，通过统一规范的接口、交互协议等实现跨平台的数据、算法、算力的互动与协同，以支持部署不同技术平台产品的用户共同完成同一隐私计算任务。上述三个层面的互联互通是由表及里的深化过程，每个层面的内部设计，以及不同层面的串联衔接，都需要隐私计算生态各方共同参与进来，才能合力走向最终互通。平台功能层面的

28、互联互通：隐私计算平台功能可抽象为通用功能和核心功能，通用功能如资源共享、任务调度、信息通讯等功能，可通过制定统一的接入和集成规范使之互通，核心功能如建模算法和安全算子，可采用插拔的方式集成到平台中来。计算流程层面的互联互通：计算流程层面的互联互通要求各计算参与方在计算任务流程、算法协议原理、算法实现步骤、状态信息同步等方面达成一致，按照统一的标准规范来进行协同计算。算子协议层面的互联互通：算子协议层面涉及到底层密码学协议、MPC协议，这类协议本身不涉及业务逻辑，具备较强的通用性，不引入额外的环境依赖，可采取服务化的形式提供给参与方调用，达到互联互通的效果。平台层计算层协议层 全球隐私计算图谱

29、报告 04全球隐私计算应用案例04 全球隐私计算图谱报告 应用案例呈现进入敏捷实践阶段的趋势 全球隐私计算图谱报告 现阶段，国内外隐私计算的运用集中在企业与企业、企业与政府之间的数据交互，主要由隐私计算厂商通过为企业或政府机构提供服务，起到保护个人隐私、保障数据安全的作用。在具体应用中，隐私计算已经在金融、医疗等对数据有迫切需求的领域，以及政务、运营商等对数据开放增值有明晰规划的行业，率先进行了大量探索，并且开始出现一些落地实践。另外，在车联网、能源等领域也显现出积极探索的态势。目前行业虽整体仍处于“探索期”，但是商业实践已呈现出从POC进入敏捷实践阶段的趋势。初步探索期敏捷实践期卓越效能期平

30、缓上升期成熟发展期科技效能（E）时期（T）隐私计算应用案例呈现出从POC探索进入敏捷实践的趋势技术效能均值曲线应用场景实践度运营商高低银行保险政务医疗能源汽车联合建模是指在多中心数据联合分析中，不需要分享各中心个体数据的前提下，通过交互加密的模型统计信息，实现数据虚拟融合下的联合数据建模与分析，并且实现对于多源输入数据、计算过程、计算结果的全流程隐私保护。隐私查询是指查询方隐藏敏感的查询条件，数据服务方提供匹配的查询结果却无法获知具体对应查询对象以及被查询的数据。数据不出域且能计算，杜绝数据缓存、数据泄漏、数据贩卖的可能性，从而达到数据隐私保护的目的。应用模式：隐私查询与联合建模为主当前，隐私

31、计算应用模式主要包括隐私查询、联合建模、联合统计及数据市场。其中，隐私查询与联合建模应用更为广泛。查询交互查询方只能获得查询结果数据提供方无法知道查询条件和结果本地训练，模型更新密文模型参数模型算法更新统计计算只得到统计结果数据对统计平台保密各数据维持彼此保密数据来源算法来源平台运营/监管数据市场数据使用 全球隐私计算图谱报告 联合统计，顾名思义，与联合建模类似，是一种联合多个不同用户的数据进行统计分析的方法，同时保护每个用户的数据隐私，不会将数据从用户的设备上泄露出来。数据市场加速数据流通，数据流通的核心是数据价值的流通，利用隐私计算技术构建数据价值安全流通的网络体系，在确保数据安全可控与隐

32、私保护的同时，实现“数据可用不可见”，这已成为数据市场建设的重要趋势。国际隐私计算应用国外企业在隐私保护技术方面布局较早，在应用探索上相对领先，但尚未形成大规模多场景落地应用的局面。整体来看，国外在医疗领域应用相对较多，在金融、政务、跨境等领域也有一些探索和实践。例如，2019年，英伟达（NVIDIA）将联邦学习技术引入了旗下专门针对医疗影像领域的Clara平台，并与英国伦敦国王学院合作发布了用于医学影像分析且具有隐私保护能力的联邦学习系统。2021年，英特尔宣称其全球包括医疗健康和金融服务领域的客户，正在借助Azure机密计算虚拟机来保护其数据隐私，该虚拟机由英特尔至强可扩展处理器和英特尔S

33、GX技术提供支持。1欧美澳金融数据跨境及监管项目Future of Financial Intelligence Sharing(FFIS)项目；包括8个子项目，由各国的金融监管机构和当地隐私计算企业联合进行。2爱沙尼亚e-Estonia电子政务系统电子爱沙尼亚系统利用x-road框架为数据融合提供了基础设施，敏感数据交换基于秘密分享的的MPC技术，在欧洲爱沙尼亚、加勒比海地区国家、日本等地进行了推广。美国国防高级研究计划局DPRIVE计划：设计和实现专用的硬件，目标为将同态处理时间从比明文慢6个数量级降低到1个数量级。使FHE满足公有云要求。Intel，Duality，Galois国际斯坦福

34、研究院等公司和机构参与。云服务商和美国防部加速同态应用3 全球隐私计算图谱报告 国内典型案例-传染病多点触发监测和智慧化预警平台在湖北宜昌，翼方健数运用大数据、隐私安全计算、人工智能等技术构建了宜昌传染病多点触发监测和智慧化预警平台，通过打通多个政企内外部数据源并跨平台联合计算，一站式完成从数据汇集、数据清洗、数据治理、数据确权、数据探测、数据授权、数据计算、到数据价值流通和共享的全流程，对宜昌市的全市数据进行高效、标准化地治理和融合，通过传染病知识图谱和动态仿真模型等智能手段，构建疾控监察哨点，实现新发疾病等的监控预测预警，实现数据驱动的智能传染病防控。案例亮点、意义等完全自主研发，安全中立

35、自主研发的隐私安全计算平台翼数坊XDP实现数据分享和价值获取的平台能力，核心模块包括分布式文件系统、计算资源调度与适配引擎、高效的数据发现与整合模块以及为不同信任假设场景储备的安全计算技术路径PCT（支持包括MPC，FHE，联邦学习，TEE等多种计算环境）。完善传染病疫情监测系统智慧化预警平台有效预警高达700次/月，法定传染病网络直报运行率为100%，医疗机构传染病漏报率城区低于2%、县市低于4%。通过使用数据治理应用，建立持续地数据治理流程，效率比传统方法提高10倍以上，通过哨点监控辅助诊断1万次/月，症候群预测准确率达到88%。促进政府公共数据与社会企业数据融通项目中使用的疾控模型开发环

36、境，也可以在安全前提下为社会企业提供数据开发环境，以促进宜昌市数据要素市场发展。企业可以通过宜昌的“数据互联网”，进一步提升应用场景的响应速度，通过政企数据融合让城市流淌优质的“数据”血液。全球隐私计算图谱报告 国内典型案例-云医付：个人医疗助贷产品云医付：基于多方计算技术与医学影像技术结合的个人医疗助贷产品方案通过患者诊疗划价数据预测患者的治疗费用，再融合该患者或其担保人的征信数据、资产证明、医保缴费（异地）等相关数据计算出授信额度，为患者提供信用担保并支付治疗费用，患者可选择分期返还等形式支付相应贷款；“医融付”保证了各方参与计算的数据不出本地，不被泄露，同时解决患者一次性支付高额治疗费用

37、的难题，为政府全面解决老百姓看病问题提供有益补充。案例亮点、意义等跨行业数据价值融合有效释放医院数据价值、控制医院诊疗费用风险、丰富医院的病例数据库。解决异地就医高额费用垫付问题获得就医支付绿色通道、降低一次性费用支出、保护患者病情等个人隐私数据。提供精准的金融普惠产品丰富个贷/企业贷产品类型、提高贷款风控精度、完善贷款用户画像。门特患者金融机构定点医院辅助诊疗诊疗划价诊疗收费密文数据模型计算个人征信数据个人医保数据婚姻、学历数据.医疗影像数据+专病费用预测模型授信模型计算结果授权调用数据按揭支付贷款授权调用现金流业务流数据流 全球隐私计算图谱报告 国内典型案例-基于隐私计算的保险风险识别与评

38、估原语科技基于自研的PrimiHub开源隐私计算平台，通过打通多个内外部数据源实现跨机构联合建模，一站式完成从数据源对接、数据汇集、数据清洗、数据建模等隐私计算数据服务全流程，为某保险科技公司提供基于隐私计算的风险识别和评估服务，安全打通外部数据源，帮助保险公司安全、可靠、有效的使用外部大数据，提升了风险识别和风险适应能力，降低承保风险。案例亮点、意义等基于完全自研的开源平台自主研发的开源隐私计算平台PrimiHub覆盖了主流的MPC，FL，TEE以及HE等技术路线，为用户提供了PSI，PIR，联邦建模与推理等隐私计算常用功能，同时支持用户、节点、资源管理等平台基础功能，为用户提供了即插即用的

39、基础性隐私计算平台。集合生态力量共同交付开源隐私计算平台PrimiHub对生态完全开放，集合社区生态力量，共同为客户打造用户友好的产品同时提供有价值的外部数据资源安全对接，提升用户模型精准度，为用户实现降本增效。全球隐私计算图谱报告 国内典型案例-隐私计算+公共数据授权运营新模式 全球隐私计算图谱报告“十四五”规划和2035年远景目标纲要提出“开展政府数据授权运营试点”，在浙江省公共数据条例的护航下，浙江勇于先行先试，探索落地了公共数据授权运营的创新模式，将公共数据授权给本地国资公司运营，通过市场化服务方式满足经济社会发展对公共数据的需要。疫情下为了有效扶持当地支柱经济产业，用隐私计算作为核心

40、技术建设当地的公共数据授权运营域，在隐私计算平台中确保数据安全和隐私保护的前提下，充分利用公共数据中关于企业的用水、用电、企业经营情况、法人相关信息、员工社保缴纳情况等数十个表在“可用不可见”的情况下进行分析，给当地经济产业集群中的企业进行不同维度的画像，以给与所需的产业金融扶持。案例亮点、意义等理念创新：在全国率先开展公共数据授权运营，践行浙江省公共数据授权运营管理办法，让公共数据合规高效流通使用、赋能数字社会、数字经济；新技术应用创新：率先将隐私计算技术用于浙江省内公共数据授权运营域，解决公共数据在安全和隐私保护的前提下的流通和价值实现；管理优化创新：在此过程中探索数据的治理、流通交易、收

41、益分配，并逐步细化固化各种制度和流程，推动本地经济高质量发展、推进国家治理体系和治理能力现代化提供有力支撑探索公共数据资源有偿服务机制；可复制推广性：开展区县公共数据授权运营，探索政府、国资、市场化企业三方参与，如何依据当地的经济和社会特色寻找和开发数据应用场景切口。05全球隐私计算开源一览05 全球隐私计算图谱报告 隐私计算技术开源的整体现状随着政策鼓励与技术成熟，开源作为一种新型的生产方式、创新的协作方式，正逐渐渗入到千行百业，并在国家战略层面得到了肯定和支持。近年来，国内外隐私计算开源框架与应用工具不断涌现，开源项目涵盖了安全多方计算、联邦学习、可信执行环境、同态加密等各个技术领域，目前

42、已呈现出覆盖领域完整、应用工具丰富、百花齐放、百家争鸣的局面。尤其是2022年，在国内更是被称为“隐私计算开源之年”。在2022年，国内已有蚂蚁集团、原语科技、翼方健数等企业推出了多个隐私计算开源项目，进一步促进了隐私计算技术的普及、应用和发展。隐私计算开源项目根据技术路径的不同，分为综合技术型开源项目和专精单一技术型开源项目。根据各个隐私计算开源项目涵盖的技术领域不同，应用功能与性能也有所差异，易用性、扩展性、适配性、通用性、模块化、组件化、用户体验等方面也各有千秋。降低隐私计算行业进入门槛。开源作为一种多方协作的生产模式，允许不同领域的专家贡献、共享技术，实现信息自由交换和全球协作发展，在

43、加速技术创新的同时，也降低了隐私计算技术的准入门槛。提升隐私计算平台安全性和可靠性。隐私计算开源平台的代码对任何人开放，代码的高可见性使得用户能够对系统进行监督和贡献，是发现安全风险和提升安全性的有力方案。流行的开源项目拥有大量的贡献者和用户，广泛的测试和应用能够提高开源软件的可靠性。促进技术一致性和系统互操作性。隐私计算开源可以让不同平台的开发者向同一个标准靠拢，以达到系统互联互通的效果，打破“计算孤岛”。作为一个仍在发展中的技术领域，众多开源项目大大促进了隐私计算技术发展、普及及应用推广，也有利于在行业标准化及互联互通等方面提供更多的参考、方案与范式，进一步促进行业的发展与繁荣。全球隐私计

44、算图谱报告 综合技术型开源项目一般同时包含主流的MPC、FL、TEE、HE等技术，拥有良好的开源社区生态。目前，致力于打造支持各种隐私计算技术及应用的综合性开源项目主要有OpenMined公司2018开始开源的PySyft系列项目，蚂蚁集团2022年开源的SecretFlow系列项目，以及原语科技2022年开源的PrimiHub系列项目等。安全多方计算（MPC）开源介绍安全多方计算（Secure Multi-party Computation,SMPC or MPC）领域主要包括通用MPC技术及专用MPC技术两大类，通用MPC技术一般支持各方之间密态的加法、乘法、比较等操作，可以基于基本操作构

45、建通用的多方联合计算、统计分析、建模等功能，专用MPC技术包括隐私集合求交、匿踪查询等技术。其涵盖的关键技术包括秘密分享、混淆电路、不经意传输等。目前，安全多方计算领域的开源项目最为繁多，有面向学术研究的，也有面向工业应用的；有涵盖多种MPC协议的通用框架，也有支持单一安全协议的专用框架；有支持通用MPC技术的，也有支持专用MPC协议的；有面向整体应用的，也有面向领域专用技术的。1234面向工业应用的开源项目，包括TF-Encrypted、Meta开源的CrypTen、矩阵元开源的Rosetta、OpenMined开源的SyMPC、蚂蚁开源的SPU等，这些面向工业应用的开源项目基本都是基于深度

46、学习框架开发，例如PyTorch或TensorFlow以及JAX。面向学术研究的开源项目最多，其中MP-SPDZ支持最为丰富和全面的各种MPC安全协议，同时对通信部分进行了并行优化，提升总体框架效率；MPC4j是面向Java的旨在为研究人员提供MPC相关协议的库,可对许多主流协议进行公平的性能比较；FudanMPL是国内首个由高校主导的开源的基于安全多方计算的机器学习框架，支持丰富的机器学习模型和场景；EzPC 主要支持神经网络的安全推理，并针对性地进行优化；ABY、ABY3、Cheetah等开源项目主要是针对相关论文的协议实现，通常作为底层协议被集成在工业应用的开源框架中。专用MPC协议的开

47、源项目，包括支持隐私集合求交的OPRF-PSI、MultipartyPSI等，支持匿踪查询的XPIR、SealPIR等，此类开源项目大多主要用于学术研究。面向基础MPC组件的开源库项目，包括支持各种高效的不经意传输协议方案的libOTe、EMP-toolkit等，支持混淆电路的Obliv-C等，这些关键技术开源库可以为通用的多方联合计算、隐私集合求交等各种上层应用提供高效基础的底层密码学原语技术支持。全球隐私计算图谱报告 联邦学习（FL）开源介绍联邦学习（Federated Learning,FL）是从人工智能角度出发，结合密码学进行安全多方分布式机器学习的技术。它是一种可以保证在本地原始数据

48、不出库，只通过传输中间结果（模型的梯度信息或模型参数）进行信息交换完成联合训练机器学习模型的方法。为提升安全性，通常结合同态加密、差分隐私技术以及包括基于秘密分享、不经意传输、混淆电路等密码学原理的各类安全多方计算协议和其它用于保证隐私计算的密码学技术来保护中间结果。从参与方数据的特征和样例重叠来看，联邦学习落地应用主要分为横向联邦和纵向联邦两大场景。横向联邦学习横向联邦学习的开源项目主要集中于欧美，如Google开源的TensorFlow-Federated、USC开源的FedML、CMU开源的LEAF等等，横向联邦学习主要面向C端客户，单个参与方数据量较少，但参与方数量可达千万甚至亿级，客

49、户端数据不出域。纵向联邦学习纵向联邦学习的开源项目主要来自中国，如微众银行开源的FATE，百度开源的PaddleFL，阿里开源的EFLS，京东开源的FedLearn等，纵向联邦学习主要面向B端客户，参与方一般为两方或多方，参与方比较少，但各方之间建模的数据量很大，各方明文数据不出域。全球隐私计算图谱报告 可信执行环境（TEE）开源介绍可信执行环境（Trusted Execution Environment,TEE）通过在硬件设备上构建一个安全区域，保证其内部加载的程序和数据在计算全过程中的机密性、完整性和准确性。与纯软件的密码学隐私保护方案相比，在可信区域内执行的计算逻辑与在明文设备上运行并无

50、差别，所以没有可用性方面的限制，计算表达能力很强，计算效率很高。但在安全性上，TEE技术本身依赖硬件环境，所以必须确保芯片厂商可信，而且与密码学中以数学困难问题保证安全不同，其硬件安全还存在侧信道攻击等其他安全问题。目前，TEE的硬件支持主要基于Intel的SGX以及ARM的TrustZone等技术，主要掌握在国外芯片厂商手里，近两年国内计算芯片厂商海光、飞腾、鲲鹏等也在积极推出自主实现的TrustZone功能。Occlum项目为蚂蚁集团开发的高效应用TEE环境的软件开源项目，其可以支持高效的多任务处理，并且提供多文件系统的支持。Gramine项目（前身为Graphene）即 Intel 为其

51、SGX硬件设备提供的一套的TEE软件开源项目，可以成为诸多上层TEE应用提供基础的应用TEE硬件的能力。OP-TEE项目为基于 ARM的TrustZone 硬件设备的TEE开源项目，提供了对于TrustZone 类TEE硬件设备的硬件应用访问能力。百度的MesaTEE项目，该项目已经加入到 Apache开源基金会，当前的项目名称为Teaclave，其是一个通用的安全计算平台，且结合百度自身的深度学习框架能力，具有安全性、通用性与易用性等特点。Asylo项目为Google开源的一套支持 Enclave 应用的TEE开源项目。Edgeless社区发起的的Constellation、Edgeless

52、DB、MarbleRun、Ego一系列项目提供了云原生平台下TEE的开源解决方案。全球隐私计算图谱报告 同态加密（HE）技术开源现状全同态加密（Fully Homomorphic Encryption,FHE）是隐私计算中的一项重要原语级技术，因为其具有很强的通用性和应用潜力，也被称为密码学“皇冠上的明珠”。同态加密依赖于公钥加密体系，数据加密之后基于密文进行计算再解密得到的结果与直接基于明文计算结果相同。其可以被应用于MPC、联邦学习等各种隐私计算应用场景之中，全同态加密技术甚至在理论上对MPC、联邦学习、TEE等技术应用场景均有替代潜力，具有很大的想象空间，但目前其性能仍然很难达到实用级别

53、。全同态加密技术根据密文计算原理的构造方式不同，可以分为基于布尔电路与基于算术电路两种，前者可以支持任意线性与非线性运算，但性能较差，后者一般支持同态加法与乘法操作，目前性能在某些应用中已经可以达到实用级别，还有一条技术路线可以将两者进行转换，综合发挥两者的优势，达到应用的最优效果。除了按照技术原理分类之外，目前还有一些通过硬件加速实现同态加密计算的开源方案。Hehub 全球隐私计算图谱报告 基于布尔电路构造的全同态加密开源项目，包括 TFHE、FHEW、OpenFHE，Concrete、以及国内第一个同态开源项目HEhub等，可以支持任意线性及非线性运算，但效率还有待提升。基于算术电路构造的

54、全同态加密开源项目，包括微软开源的SEAL，IBM开源的HElib，OpenMined开源的TenSEAL，此外还有Lattigo、HEAAN、OpenFHE等开源项目，基本都是基于多项式环构造，支持SIMD，效率较高。综合了布尔电路与算术电路同态加密的开源项目，包括OpenFHE、Hehub、PEGASUS等项目，其可以将两类全同态加密方案在计算过程中进行转换，既可以发挥算法电路的高效率优势，又可以利用布尔电路的非线性运算能力。其中Hehub是目前唯一一个国内自主研发的同态加密算法开源库，其在易用性、扩展性和效率方面具有一定的领先优势。全同态加密硬件加速的开源项目，包括cuHE、cuFHE、

55、cuYASHE等项目，这些项目基本都是基于GPU实现的运算，目前其可以实现全同态加密计算相对于CPU计算1个数量级以上的效率提升。06趋势展望06 全球隐私计算图谱报告 暨南大学副校长、国家杰青-翁健安全多方计算(Secure Multi-party Computation,SMPC)联邦学习(Federated Learning,FL)可信执行环境(Trusted Execution Environment,TEE)同态加密(Homomorphic encryption,HE)区块链技术(Blockchain Technology)围绕半可信模型/恶意安全模型的性能及功能优化研究围绕TEE自

56、身安全问题及其安全应用研究围绕恶意安全模型训练正确性及可验证性研究安全性去中心化性可扩展性不可能三角围绕区块链自身局限优化及其在隐私计算中的应用研究目标 全球隐私计算图谱报告 半可信模型：通信效率优化(Ferret CCS20,Silver CRYPTO21,CrypTFlow2 CCS20，ABY2.0 USENIX Security21等)、函数功能丰富(SiRnn S&P21,SecFloat S&P22等)。恶意安全模型：保证结果的正确性验证，恶意大多数安全(Overdrive EUROCRYPT18,MP-SPDZ CCS20,LevioSA CCS19)，诚实大多数安全(ABY3

57、CCS18,SWIFT USENIX Security21等)。多技术结合的模型安全聚合研究：差分隐私 Shokri CCS15、秘密分享 Bonawitz CCS17、半同态加密BatchCrypt USENIX ATC20、安全多方计算 Cerebro USENIX Security21,全同态加密 POSEIDON NDSS21等。恶意模型下的模型聚合可验证研究：零知识证明 EIFFeL CCS22，同态消息验证码 VerifyNet IEEE TIFS19,VERSA IEEE TDSC21等。新型攻击手段层出不穷：C-flat CCS16,Lofat DAC17,Nemesis CC

58、S17,BranchScope SIGPLAN18,Spectre attacks S&P19,Sgxpectre Euro S&P19,SmashEx CCS21。基于TEE的隐私计算技术应用：安全多方计算 CRYPT-FLOW S&P20、全同态加密 VISE TC21、计算公平性 Choudhuri CCS17等。自2009年Gentry提出第一代全同态加密算法以来，已过度到第三代算法，朝着性能更优的方向开展研究。第一代(Gen STOC09)第二代(BGV ITCS12,BFV ePrint12,CKKS ASIACRYPT17)第三代(GSW CRYPTO13,CGGI ASIACR

59、YPT16,LM EUROCRYPT 20)数据安全计算(如ZEXE S&P20)链下可扩展性提升(如SlimChain VLDB21)智能合约隐私保护(如ZeeStar S&P22)围绕全同态计算性能提升方向研究阿里巴巴集团资深安全专家-洪澄技术创新研究与探索是隐私计算持续发展的基石，当前隐私计算各项基础技术日趋成熟，为隐私计算在各种领域、各类场景中发挥价值提供了重要支撑。未来，隐私计算技术将更多地面向应用场景需求，例如，安全多方计算恶意模型中，如何化解巨大的性能损失问题；在全同态加密中，如何通过硬件加速提升计算效率。由于需求不同，很难使用一种通用协议适应所有应用场景，需要针对各种场景（如数

60、据分布、建模类型），设计定制的隐私计算协议才能达到最优效果。尽管目前金融场景的各种需求基本上已经有了相对成熟的协议，但是复杂场景，如广告、医疗等，仍然存在大量定制优化的需求。复旦大学等提出的PEA（https:/arxiv.org/abs/2208.08662）就是在水平分割场景中结合差分隐私和本地预训练，实现了建模速度比通用隐私计算协议快100倍以上；中国科学院信息工程研究所针对PSU问题提出了目前最优的协议，首次同时实现了线性的通信复杂度和计算复杂度。技术趋势一：特定场景的隐私计算优化 在安全多方计算的实际应用中，往往很难确认合作方是否是半诚实的，因此仅半诚实的MPC协议是不够的，需要研究

61、如何实现恶意安全的MPC协议。由于恶意安全性会带来大量的性能损失，所以此类研究尤其困难。目前，这方面最新研究进展包括伯克利的senate和微软研究院的SIMC，其中前者支持恶意模型下的多方SQL查询，后者支持单方恶意模型下的神经网络推理。技术趋势二：恶意模型的安全多方计算 在隐私计算中使用（全）同态加密可以降低通信量和通信轮数，代价是计算量的提升。由于带宽和延迟不易优化，因此从硬件角度投入，研究同态加密的硬件加速是一个有前途的方向。目前在这一领域的最新突破是比利时鲁汶大学设计的加速器BASALISC（https:/eprint.iacr.org/2022/657），各项速度超过软件版本的HEL

62、IB 34个量级（12nm ASIC模拟）。此外，ZAMA公司尤其超前，开始研究TFHE与光计算硬件的结合。技术趋势三：同态加密硬件加速 全球隐私计算图谱报告 原语科技创始人-李延凯数据要素价值流通应用的过程中，隐私计算逐渐成为标配。隐私计算应用在2B、2G、2C三大方向呈现场景多元、融合应用迸发的趋势：从B端的金融、电信、医疗、工业、汽车、军工，到G端的政务公共数据协同应用，以及处在萌芽期并具有指数增长想象空间的C端，如手机、互联网、零售、教育等。同时，隐私计算在数据交易所的相关应用也在积极探索中，未来有望改变现有数据交易模式与产业格局。全球隐私计算图谱报告 热度时间电信 制造 能源 军工

63、市政 司法供应链 数据交易所场景多元硬件加速开源开放技术融合互联互通数据融合金融 汽车 医疗 集团手机 互联网 零售 教育汽车 电信 银行 保险公安 卫生 民政 教育农业 水利 交通 海关 2C红2B蓝2G灰成熟度安全性性能TEE解决方案隐私计算一体机云原生加速算力富数科技合伙人-黄奉孝从理论积累到技术方案，再发展到通用技术平台，目前整个隐私计算产品正在向产品标准化、性能提升发展，加速推动隐私计算产业大规模应用。未来可能会出现的商业模式：聚焦IaaS的隐私计算设备服务商：提供可信芯片或DPU。聚焦PaaS的隐私计算云服务商：客户就像在Aws或者阿里云上开存储一样简单、快捷、廉价、易用、懒管理。

64、聚焦PaaS的隐私计算一体机服务商：一体机。聚焦SaaS的隐私计算Plus服务商：Plus代表基于隐私计算的业务平台，比如监管平台、广告营销平台、量化投研平台、竞价拍卖平台等等，它能对传统的平台造成降维打击的关键点是以更合规的技术手段拉通更丰富的数据。工程化异构互联互通加速和产品更加标准化理论验证解决平台协作难题数据与计算孤岛多方安全计算联邦学习可信执行环境 全球隐私计算图谱报告 编写成员 全球隐私计算图谱报告 主编：熊婷编写组成员：崔涣 董业 关皓聘 韩伟力 姬艳鑫 李安国 李伟荣 连亦承 林洋 孙中伟 涂新宇 王吾冰 王玉珏 魏伟明 谢彪 杨博 叶飞 杨昱文 姚天易 郑超注：按拼音排序在此

65、，感谢所有支持和参与编写全球隐私计算图谱报告的政企单位、研究机构和行业专家，感谢所有关注隐私计算行业发展、贡献开源的各界人士。致 谢欢迎与我们联系探讨报告内容联系方式网址：公众号：开放隐私计算附录1：国内外主要企业开源项目 序号项目名开源时间机构技术路径1PySyft 2017年7月OpenMined 开源社区 安全多方计算、联邦学习 2TF-Encrypted2018年3月DropoutLabs,Openmined,阿里巴巴安全多方计算 3EzPC2018年4月微软安全多方计算 4Asylo 2018年5月谷歌可信执行环境5MesaTEE2018年9月百度可信执行环境6FATE 2019年2

66、月微众银行联邦学习7TF-Federated2019年8月谷歌联邦学习8Private Join&Compute 2019年8月谷歌安全多方计算 9PaddleFL2019年9月百度联邦学习10CrypTen2019年10月Facebook 安全多方计算 12Fedlearner 2020年1月字节跳动联邦学习13Rosetta2020年8月矩阵元 安全多方计算 14KubeTEE 2020年9月蚂蚁集团可信执行环境15Fedlearn2021年7月京东科技联邦学习16Fedlearn-algo2021年7月京东科技联邦学习17Delta2021年7月因问科技区块链隐私计算框架18WeFe20

67、21年10月天冕科技联邦学习19PrimiHub2022年6月原语科技安全多方计算、联邦学习20Secretflow2022年7月蚂蚁集团安全多方计算、联邦学习 21XSCE2022年7月翼方健数安全多方计算 22mpc4j2022年8月阿里巴巴安全多方计算全球隐私计算图谱报告（附录）附录2：安全多方计算主要开源项目 序号项目名开源时间机构技术路径1Obliv-C2000年12月University of VirginiaObliv-C 是 C 的扩展，实现和执行乱码电路协议。它只支持姚的乱码电路，具有半诚实的安全性。2Wysteria2014年1月University of Maryland

68、这个框架实现了一个特定领域的语言，在半诚实环境下，只有二进制计算，且是不诚实大多数.3TinyGarble2014年8月Rice University,Technische Universitat Darmstadt这个框架只实现了Yao的半诚实安全的混淆乱码电路.4Sharemind SDK2015年1月University of Tartu,Sharemind这个框架实现了各种后端的前台，但它自己的后端只使用三方诚信多数半诚信计算。需要学术/企业许可证才能访问。5ABY2015年2月TU Darmstadt高效安全两方混合协议计算框架6ObliVM2015年5月University of

69、Maryland,Indiana University这个框架将Java的扩展编译成Java字节码。它只支持Yao的乱码电路，具有半诚实的安全性。7FRESCO2015年11月Alexandra Institute实现了不诚实多数计算，对算术电路(SPDZ和SPDZ2k)具有恶意安全，对二进制电路具有半诚实安全DNNR178Frigate2015年11月University of Florida,Yale University,Georgia Institute of Technology这是一个编译器，它将类似C语言的代码编译成二进制的电路描述.9PICCO2016年3月University

70、 of Notre Dame这个框架通过标准C将C语言的扩展编译成本地二进制文件。它只实现了基于Shamir的秘密共享的诚实多数半诚实计算。10EMP-toolkit2016年6月Northwestern University框架仅在各种安全模型中实现混淆电路11MP-SPDZ 2016年9月CSIRO 澳大利亚联邦科学与工业研究组织 是SPDZ-2的分支,MP-SPDZ将SPDZ-2扩展到了二十多种MPC协议。12JIFF2017年6月Boston University这个JavaScript库只实现了半诚实安全的诚实多数计算.13CBMC-GC2018年3月TU Wien这是将C代码编译为

71、二进制电路描述，并由ABY执行编译器14ABY32018年4月Payman Mohassel and Peter Rindal该框架仅以半诚实安全性来实现三方计算 15MPyC2018年4月Berry SchoenmakersMPyC 是一个用于安全计算的 python 库,该库主要使用基于 Shamir 秘密共享的信息理论上安全的原语。16SCALE-MAMBA2018年5月The University of Bristol这个框架是SPDZ-2的另一个分叉,一个真正的多方计算框架。它在恶意模型中是安全的并且取代了 SPDZ 语言。它使用算术计算模型（即在大型有限域上），但协议本身使用混合方

72、法。17MOTION-HyCC2018年12月University of PennsylvaniaHyCC 是一种优化的电路编译器，从 CBMC-GC 演变而来，旨在针对多协议设置进行优化.18EzPC2019年2月Microsoft Research Lab该系统将TensorFlow（或ONNX）推理代码作为输入，并自动将其编译为针对同一代码的高效安全计算协议。开发了新的安全的多方计算协议，用于计算各种神经网络训练和预测算法。19Private Join and Compute2019年6月Google/Google Security这是一种新的安全多方计算（MPC）工具，旨在帮助组织与机

73、密数据集协同工作，而无需披露有关数据集中所代表个人的信息。20CrypTen2019年10月Facebook ResearchCrypTen使可能不是密码学专家的机器学习研究人员可以使用安全计算技术轻松地尝试机器学习模型。通过与通用的PyTorch API集成，CrypTen降低了机器学习研究人员使用的门槛。全球隐私计算图谱报告（附录）附录3：联邦学习主要开源项目 序号项目名开源时间机构技术路径1PySyft2017年7月OpenMinedPySyft 在主要深度学习框架（如 PyTorch 和 TensorFlow）中使用联邦学习、差分隐私和加密计算（如多方计算(MPC)和同态加密(HE)）

74、将私有数据与模型训练分离。2TFF(Tensorflow-Federated)2018年9月GoogleTensorFlow Federated(TFF)平台包含两层：联合学习(FL)：将现有 Keras 或非 Keras 机器学习模型插入 TFF 框架的高级接口。无须学习联合学习算法的详细内容，您就可以执行基本任务，如联合训练或评估；Federated Core(FC)：通过将 TensorFlow 与强类型函数式编程环境中的分布式通信算子相结合，可简明表示自定义联合算法的底层接口。3LEAF2018年10月CMULEAF 是一个用于在联邦环境中学习的基准测试框架，其应用包括联邦学习、多任务

75、学习、元学习和设备上学习。未来的版本将包括额外的任务和数据集。4substra2018年10月SubstraSubstra是一个框架，提供合作伙伴之间机器学习任务的分布式协调，同时保证所有操作的安全和可追溯性。5XayNet2019年5月XayNetXayNet重点关注屏蔽式的跨设备联邦学习，以使数百万的低功率边缘设备（如智能手机甚至汽车）的机器学习的协调。通过这样做，我们希望也能提高联合学习在实践中的采用速度和范围，特别是允许对终端用户数据的保护。6OpenHealth2019年7月ZJUOpenHealth基于Fisco Bcos和代理重加密搭建以患者为中心的医疗数据隐私共享平台，解决当前

76、医疗机构、医疗(AI)服务商、IoT医疗设备之间的数据孤岛问题，并将医疗数据的分享控制权限归还给患者个人，形成一份完整医疗记录。我们还将在基础之上，搭建去中心化的医疗数据市场和AI服务市场，提供联邦学习套件给以上各参与方，将AI模型带到各计算边缘，实现医疗数据隐私保护下的联合机器学习，提高医疗服务的质量。7FATE2019年8月WeBankFATE(Federated AI Technology Enabler)是微众银行AI部门发起的开源项目，为联邦学习生态系统提供了可靠的安全计算框架。FATE项目使用安全多方计算(MPC)以及同态加密(HE)技术构建底层安全计算协议，以此支持不同种类的机器

77、学习的安全计算，包括逻辑回归、基于树的算法、深度学习和迁移学习等。8Backdoors 1012019年8月Cornell TechBackdoors 101-是一个PyTorch框架，用于对深度学习模型进行最先进的后门防御和攻击。它包括真实世界的数据集，集中式和联邦学习，并支持各种攻击载体9MPLC2019年8月LabeliaLabs模拟协作 ML 场景，试验多合作伙伴学习方法并衡量不同数据集对模型性能的各自贡献。10PaddleFL2019年9月BaiduPaddleFL是一个基于PaddlePaddle的开源联邦学习框架。研究人员可以很轻松地用PaddleFL复制和比较不同的联邦学习算法

78、，开发人员也比较容易在大规模分布式集群中部署PaddleFL联邦学习系统。PaddleFL提供很多种联邦学习策略（横向联邦学习、纵向联邦学习）及其在计算机视觉、自然语言处理、推荐算法等领域的应用。此外，PaddleFL还将提供传统机器学习训练策略的应用，例如多任务学习、联邦学习环境下的迁移学习。依靠着PaddlePaddle的大规模分布式训练和Kubernetes对训练任务的弹性调度能力，PaddleFL可以基于全栈开源软件轻松地部署。11KubeFATE2019年9月WeBankKubeFATE 支持通过 Docker Compose 和 Kubernetes 部署 FATE。我们建议通过

79、Docker Compose 安装 FATE 的开发环境，通过 Kubernetes 安装生产环境。12SyferText2019年10月OpenMinedSyferText是一个在Python中保护隐私的自然语言处理库。它利用PySyft对文本数据进行联邦学习和加密计算（多方计算（MPC）)。13FLSim2019年11月University of Toronto这是一个基于 PyTorch 的联邦学习模拟框架.14Fedlearner2020年1月BytedanceFedlearner 是一种协作式机器学习框架，可以对机构间分布的数据进行联合建模。15Galaxy Federated Le

80、arning2020年1月ZJUGalaxy Federated Learning Framework(GFL)是一个基于区块链的去中心化联邦学习框架。GFL以Ethereum为基础建立去中心化通信网络，通过智能合约完成联邦学习中要求可信的关键功能。同时，GFL简化了联邦学习建模过程，让开发者可以快速建模和验证。16Flower2020年2月adapFlower(flwr)是构建联邦学习系统的框架。17MindSpore2020年3月HUAWEIMindSpore是一种适用于端边云场景的新型开源深度学习训练/推理框架。可支持面向千万级无状态终端设备的联邦学习框架。18Rosetta2020年4

81、月matrixelementsRosetta 是一个基于TensorFlow开发的隐私计算框架，它将陆续集成密码学、联邦学习和可信执行环境等主流的隐私计算技术。Rosetta 旨在为人工智能快速提供隐私保护技术解决方案，不需要用户掌握任何密码学、联邦学习和硬件安全执行环境领域的专业知识。Rosetta 在用户接口层复用了 TensorFlow 的对外 API 从而使得用户可以以最低的改造成本将隐私保护功能集成到现有的 TensorFlow 程序中。全球隐私计算图谱报告（附录）附录3：联邦学习主要开源项目（续上）序号项目名开源时间机构技术路径19Privacy Meter2020年4月Unive

82、rsity of Massachusetts AmherstPrivacy Meter 是一个开源库，用于评估统计和机器学习算法中的数据隐私泄露。该工具可以通过对（机器学习）模型的基本隐私泄露风险进行定量分析来帮助数据隐私保护过程。它使用最先进的推理技术来评估用于分类、回归、计算机视觉和自然语言处理的各种机器学习算法20FedEval2020年5月HKUFedEval是一个具有综合评价模型（即iSpree模型）的基准平台，用于联邦学习。21IBM Federated Learning2020年6月IBMIBM联邦学习是一个用于企业环境中联邦学习（FL）的Python框架。FL是一个分布式的机器

83、学习过程，其中每个参与者节点（或一方）都在本地保留数据，并通过学习协议与其他参与者进行互动。FL背后的主要驱动力是隐私和保密问题、法规遵从要求，以及将数据转移到一个中央学习地点的实用性。IBM联合学习为FL提供了一个基本结构，可以在此基础上增加高级功能。它不依赖于任何特定的机器学习框架，并支持不同的学习拓扑结构，例如一个共享的聚合器和协议。它支持深度神经网络（DNN）以及经典的机器学习技术，如线性回归和K-means。这包括有监督和无监督的方法以及强化学习。22PyVertical2020年6月OpenMined用于隐私保护、纵向联邦学习的框架23FedML2020年7月USCFedML是一个

84、开放的研究库和基准，可促进新的联邦学习算法的开发和公平的性能比较。FedML 支持三种计算范式（分布式训练、移动端训练和单机模拟），供用户在不同系统环境下进行实验。FedML 还通过灵活和通用的 API 设计和参考基线实现促进了多样化的算法研究。非 I.I.D 设置的策划和综合基准数据集旨在进行公平比较。我们相信 FedML 可以为联邦学习研究社区提供一种高效且可重复的方法来开发和评估算法。24FEDn2020年7月scaleoutsystemsFEDn是一个模块化和模型不可知的框架，用于分层联合机器学习，可以从伪分布式开发扩展到分布式异构环境下的真实世界生产网络。259nfl2020年9月J

85、D Group九数联邦学习整体解决方案,整个系统分为四个大模块:整体调度与转发模块;资源管理与调度模块;数据求交模块;训练器模块.26plato2020年10月UofT一个促进可扩展、可重现和可扩展的联邦学习研究的软件框架。27FedTorch2020年10月Penn StateFedTorch 是一个开源 Python 包，用于使用PyTorch 分布式 API对机器学习模型进行分布式和联合训练.28FedTree2020年10月Xtra Computing GroupFedTree是一个基于树形模型的联合学习系统,其目标是设计一个安全高效的联邦学习系统。29Clara2020年10月NVI

86、DIA英伟达Clara是一个医疗保健应用框架，用于人工智能驱动的成像、基因组学以及智能传感器的开发和部署。它包括全栈式的GPU加速库、SDK和参考应用程序，供开发人员、数据科学家和研究人员创建实时、安全和可扩展的解决方案。30FedNLP2020年11月FedMLFedNLP是一个面向研究的基准框架，用于推进自然语言处理（NLP）中的联邦学习（FL）。它在后端使用FedML API，用于FedAvg和FedOpt等各种联合算法和平台（分布式计算、物联网/移动设备）。31FedJAX2020年12月GOOGLEFedJAX是一个基于JAX的开放源码库，用于联合学习模拟，强调研究中的易用性。凭借其

87、实现联合学习算法的简单基元、预包装的数据集、模型和算法以及快速的模拟速度，FedJAX旨在使研究人员更快更容易地开发和评估联合算法。FedJAX在加速器（GPU和TPU）上工作，不需要太多额外的设置。其他细节和基准可以在我们的论文中找到。32FedCV2020年12月FedML一个联邦学习库和基准框架，以评估FL在三个最具代表性的计算机视觉任务上的表现：图像分类、图像分割和物体检测。提供了非I.I.D.基准数据集、模型和各种参考FL算法。33OpenFL2021年1月IntelOpenFL 是用于联邦学习的 Python 3 框架。OpenFL 旨在成为数据科学家的灵活、可扩展且易于学习的工具

88、。OpenFL 由英特尔托管，旨在以社区为导向，并欢迎对项目做出贡献。34NIID-Bench2021年1月Xtra Computing Group这个仓库包括了非IID数据分布情况下的联合学习算法的基准测试。具体来说，我们实现了4种联合学习算法（FedAvg、FedProx、SCAFFOLD和FedNova），3种非IID设置（标签分布倾斜、特征分布倾斜和数量倾斜）和9个数据集（MNIST、Cifar-10、Fashion-MNIST、SVHN、Generated 3D dataset、FEMNIST、adult、rcv1、covtype）。35Fedlab2021年3月SMILELabFe

89、dLab提供了联邦学习模拟需要的模块，包括通信模块、压缩模块、模型优化模块、数据划分模块，以及其他功能性模块。用户可以像玩乐高积木一样用不同的自定义模块来搭建联邦学习模拟环境.36FedGraphNN2021年3月FedMLFedGraphNN是一个开放的FL基准系统，可以促进对联合GNN的研究。FedGraphNN建立在图FL的统一表述上，包含了来自不同领域的广泛的数据集、流行的GNN模型和FL算法，并有安全和高效的系统支持.全球隐私计算图谱报告（附录）附录3：联邦学习主要开源项目（续上）序号项目名开源时间机构技术路径37PFL-Non-IID2021年3月SJTU利用非 IID 数据为每个

90、用户学习个性化模型。38Flame2021年3月CiscoFlame是一个平台，使开发者能够轻松地组成和部署联邦学习（FL）训练。该系统由一个服务（控制平面）和一个python库（数据平面）组成。该服务管理机器学习工作负载，而python库促进了ML工作负载的组成。而库也负责执行FL工作负载。通过其库的可扩展性，Flame可以支持各种实验和用例。39FedScale2021年4月SymbioticLab(U-M)FedScale（fedscale.ai）提供了高层次的API来实现FL算法，在不同的硬件和软件后端大规模部署和评估它们。FedScale还包括最大的FL基准，包含从图像分类和物体检测

91、到语言建模和语音识别的FL任务。此外，它还提供了数据集，以忠实地模拟FL的训练环境。40OpenFed2021年6月FederalLabOpenFed是联邦学习研究的一个基础库，支持许多研究项目。它通过有针对性地消除现有的痛点，降低了联邦学习的研究人员和下游用户的准入门槛。对于研究人员来说，OpenFed提供了一个框架，在这个框架中，新的方法可以很容易地被实施，并根据一套广泛的基准进行公平的评估。对于下游用户来说，OpenFed允许联邦学习在不同的主题背景下即插即用，消除了对联邦学习的深度专业知识的需求。41NVFlare2021年7月NVIDIANVIDIAFLARE是一个独立的python

92、库，旨在实现各方之间的联合学习，使用他们的本地安全保护数据进行客户端训练，同时它还包括协调和交换所有站点的结果进展的功能，以实现更好的全局模型，同时保护数据隐私。42FedLearn-algo2021年7月JD TechnologyFedLearn-algo是一个用于研究环境的开源框架，以促进对新型联合学习算法的研究。FedLearn-algo提出了一个分布式机器学习架构，使垂直和水平的联合学习（FL）开发成为可能。这个架构支持每个特定算法设计的灵活模块配置，并可以扩展到建立最先进的算法和系统。FedLearn-algo还提供了全面的例子，包括基于FL的内核方法、随机森林和神经网络。最后，Fe

93、dLearn-algo中的水平FL扩展与流行的深度学习框架兼容，例如PyTorch、OneFlow43fedlearn2021年7月JD Technology联合学习系统，包括常用算法和通用训练推理系统框架|Fedlearn 主系统，包括用于训练/推理的算法和框架。44APPFL2021年10月CiscoAPPFL是一个开源的软件框架，允许研究团体实施、测试和验证各种保护隐私的联邦学习（PPFL）的想法。通过这个框架，开发者和/或用户可以在具有差异化隐私的分散数据上训练一个用户定义的神经网络模型；用MPI在高性能计算（HPC）架构上模拟各种PPFL算法；以即插即用的方式实现用户定义的PPFL算

94、法。这种算法组件包括联邦学习（FL）算法、隐私技术、通信协议、训练的FL模型和数据。45FLUTE2021年11月microsoftFLUTE是一个基于pytorch的协调环境，能够实现基于GPU或CPU的FL模拟。FLUTE的主要目标是使研究人员能够快速建立原型并验证他们的想法。46FLSim2021年12月facebook researchFederated Learning Simulator（FLSim）是一个用PyTorch编写的灵活、独立的库，用最小的、易于使用的API模拟FL设置。FLSim是领域无关的，可容纳许多使用案例，如计算机视觉和自然文本。目前，FLSim支持跨设备FL，

95、即数百万客户的设备（如手机）一起协作训练一个模型。47FederatedScope2022年3月AlibabaFederatedScope 是一个综合性的联邦学习平台，为学术界和工业界的各种联邦学习任务提供方便的使用和灵活的定制。FederatedScope 基于事件驱动的架构，集成了丰富的功能集合，以满足联邦学习日益增长的需求，旨在构建一个易于使用的平台，以安全有效地促进学习。48SecretFlow2022年4月Ant groupSecretFlow 是用于隐私保护数据智能和机器学习的统一框架。它提供了：抽象设备层由封装各种密码协议的普通设备和秘密设备组成；将更高算法建模为设备对象流和 D

96、AG 的设备流层；使用水平或垂直分区数据进行数据分析和机器学习的算法层；无缝集成数据处理、模型训练和超参数调整的工作流层。49EasyFL2022年4月NTUEasyFL是一个基于PyTorch的易于使用的联邦学习（FL）平台。它的目的是使具有不同专业水平的用户能够在很少/没有编码的情况下进行FL应用的实验和原型设计。50Primihub2022年5月primihubPrimiHub-是由原语科技基于安全多方计算、联邦学习、同态加密、可信计算等隐私计算技术，结合区块链等自主研发的隐私计算应用平台。PrimiHub秉承保护数据在应用过程中的隐私安全，实现“数据可用不可见”。产品平台涵盖了匿踪查询

97、、隐私求交、联合建模、联合统计、算法容器管理、数据资源管理、数据确权与定价、异构平台互联互通等主要应用服务功能。全球隐私计算图谱报告（附录）附录4：可信执行环境主要开源项目 全球隐私计算图谱报告（附录）序号项目名开源时间机构技术路径1Open TEE2013年11月芬兰赫尔辛基大学Apache授权支持下的开源，https:/ emulation技术，git:/nv- ARM 的系统中基于 TrustZone 的可信执行环境（TEE）的操作系统,提供评估授权和产品授权,https:/ ARM(R)Trustzone(R)and MIPS技术，必须购买相应的硬件开发板才能使用其开源的TEE软件,一

98、半开源一半商业性质,https:/ Arm 上运行的非安全 Linux 内核的伴侣；使用 TrustZone 技术的 Cortex-A 内核。BSD授权支持下的开源，使用 ARM(R)Trustzone(R)技术，https:/ 6LTZVisor2017年9月TZVisor轻量级 TrustZone 辅助管理程序7T-base2018年1月TrustonicTrustonic T-base 安全研究，https:/ 是用于开发 enclave 应用程序的开放、灵活的框架。Asylo 支持一系列新兴的可信执行环境(TEE)，包括软件和硬件隔离技术。9MesaTEE2018年12月百度快速安全的

99、 GBDT 库，支持 Intel SGX 和 ARM TrustZone 等 TEE10DarkneTZ2019年1月Imperial College London,Queen Mary University of London,Telefnica Research在 TrustZone 中运行多层深度学习模型11KubeTEE2020年9月蚂蚁集团KubeTEE 是 TEE 开发、部署、维护中间件框架和服务的集合，特别针对 Kubernetes 工作流。https:/ University使用 ARM TrustZone 的网络物理系统的实时系统附录5：同态加密主要开源项目 全球隐私计算图谱

100、报告（附录）序号项目名开源时间技术路径1HElib2013年4月HElib 是一个实现同态加密（HE）的开源代码库。目前实现的方案是包括带有引导的 Brakerski-Gentry-Vaikuntanathan(BGV)方案和 Cheon-Kim-Kim-Song(CKKS)的近似数方案的实现，仓库使用了许多优化技术使同态运算更快。2libScarab2013年12月libScarab 是使用大整数的完全同态加密方案的实现。3python-paillier2014年11月实现 Paillier 同态加密的 Python 3 库。paillier 密码系统的同态属性包括：加密数字可以乘以非加密标

101、量；加密数字可以加在一起；加密数字可以添加到非加密标量。4petlib2014年11月一个实现许多隐私增强技术(PET)的 python 库。5NFLlib2015年11月NFLlib 是一个实现了理想格密码的同态加密。该库结合了算法优化（中国剩余定理、优化的数论变换）与编程优化技术（SSE 和 AVX2 专业化、C+表达式模板等）6cuHE2016年1月cuHE是一个 GPU 加速库，实现了在多项式环上定义的同态加密(HE)方案和同态算法。同时提供了一个简单易用的接口，提高了程序员的开发效率。它使用电路同态评估技术。并针对单 GPU 和多 GPU 设备优化了代码。7TFHE2016年3月环上

102、的全同态加密高效实现。这个库是 TFHE 的原始版本，它实现了同态加密基本的模块(bootstrapped and leveled)。8HEAAN2016年5月HEAAN 是实现支持定点算法的同态加密(HE)的软件库。该库支持有理数之间的近似运算。近似误差取决于一些参数，与浮点运算误差几乎相同。9Pyfhel2017年6月支持对加密的向量、标量进行加法、减法、乘法、标量积的代码库。该库提供最先进的 C+HE 库的 Python API.10cuFHE2018年3月支持GPU加速的全同态加密仓库。它实现了 Chillotti 等人提出的 TFHE 方案。使用英伟达泰坦Xp显卡进行实验，比使用CP

103、U进行计算的TFHE方案快20多倍。11NuFHE2018年4月NuFHE是基于GPU实现的环上全同态加密方案。该库使用 CUDA 和 OpenCL 实现了 TFHE 的完全同态加密算法。与在内部使用 FFT 来加速多项式乘法的 TFHE 不同，nufhe 可以使用 FFT 或纯整数 NTT（有限域上的类似 DFT 的变换）。后者基于 cuFHE 的算术运算和 NTT 方案。12HEMat2018年9月HEMat 是一个使用同态加密执行安全外包矩阵计算的软件包13SEAL2018年11月Microsoft SEAL 是一个易于使用的开源（MIT 许可）同态加密库，由 Microsoft 的密码

104、学和隐私研究小组开发。Microsoft SEAL 是用现代标准 C+编写的，易于在许多不同的环境中编译和运行。14SEAL-python2019年7月SEAL-python使用pybind11为SEAL的C+代码提供python接口，方便开发者使用python进行开发。15HE Transformer for nGraph2019年7月这是一种允许AI系统对敏感数据进行操作的工具。它是nGraph，英特尔神经网络编译器的后端16Lattigo2019年8月Lattigo实现了基于RLWE的同态加密方案以及基于同态加密的安全多方计算协议。Lattigo使用go语言实现。Lattigo 旨在支持

105、分布式系统和微服务架构中的 HE，选用go是因为其并发模型和可移植性。17HEAAN-python2019年9月HEAAN的python版本18TenSEAL2020年1月TenSEAL 是一个用于对张量进行同态加密操作的库，构建在 Microsoft SEAL 之上。它通过 Python API 提供易用性，同时通过使用 C+实现其大部分操作来保持效率。19Concrete2020年10月使用Rust语言实现了Zama的TFHE变体。Concrete的密码算法基于LWE问题和RLWE问题，研究证明基于这类问题的密码算法是抗量子的。20Cupcake2021年3月Cupcake 是一个Fackbook开源的同态加密库，实现了Fan-Vercauteren 同态加密方案的加法版本，并使用。提供明文向量加密、加/减两个加密向量以及重新随机化密文的功能。21OpenFHE2021年10月OpenFHE 是一个开源 FHE 库，包括所有常见 FHE 方案的有效实现22FINAL2022年1月FINAL实现了论文 FINAL:Faster FHE instantiated with NTRU and LWE提出的全同态加密方案。23HEhub2022年7月由原语科技推出的同态加密开源算法库 HEhub，包含了 BGV、CKKS、TFHE 等全同态加密算法.